部署

本文以宝塔环境为例。下载文件(末尾提供)解压服务器。分别修改admin目录下的setting.phpconfig.inc.php中的数据库信息。注意,先不要创建BWAPP数据库,执行安装命令会自助创建。

接着,访问你的IP/install.php进行安装,便会出现下面界面。证明安装成功。

接下来,我们用初始密码bee/bug进行登录。

本文以HTML Injection注入篇为例。简单说下其利用过程。其他部分后续更新!

HTML Injection

因为网页没有做任何过滤,攻击者可以通过输入框,搜索框等位置插入恶意代码。如XXS攻击、恶意外链等。如,我们在输入框输入下面代码

<a href="https://blog.bbskali.cn/">狼目安全</a>

当别人访问此网站,也会看到当前攻击者留下的信息。点击后便跳转到指定的站点。

同理,我们还可以弹XSS

因为这些攻击都是注入到当前网页的,所以危害很大!

medium

对于medium级别,我们输入payload后发现直接显示了。

祭出神器burp抓包,来一梭研究下!

通过抓包,我们发现输入的信息全部被编码了。哪么,反过来,我先将编码后的信息输入到里面,它还会编码吗?

成功复现

high

在高级漏洞中,我们尝试输入,发现刚才的方法已经不行了。因为使用了htmlspecialchars()函数过滤,把预定义的字符&, " ,’ ,<,> 转换为 HTML 实体。

目前试了几种方法,均已失败告终。

HTML Injection(Current URL )

low

正常情况下,得到的是一段URL,感觉无处下手。通常我们会在url后面去构造参数。如:

?id=<script>alert('欢迎关注狼目安全')</script>

但是,经过测试发现url被编码了。

因此,我们在burp中,将编码部分改成正常的

当然,也可以直接修改host的值来实现。如

medium和high环境问题,未能复现。

需要注意的是,本关中尽量用ie浏览器,火狐和Google对xss过滤还是比较严的。

HTML Injection  Stored (Blog)

low

直接输入xss脚本即可复现。

因为是储存型的xss。被人访问也会被弹。

iFrame Injection

iframe是可用于在HTML页面中嵌入一些文件(如文档,视频等)的一项技术。通过利用iframe标签对网站页面进行注入。low

它包含了一个robots.txt的文件,我们试试其他的

ParamUrl=../admin/phpinfo.php&ParamWidth=500&ParamHeight=500

以此类推,我们便可以找到系统中其他敏感的文件信息。

注意:由于环境限制,如(php版本、相关函数、浏览器因素)部分medium和high级别的无法复现。大家可以自行尝试!

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。